Die Umsetzung der EU-Richtlinie NIS2 in deutsches Recht gestaltet sich komplexer als geplant. Ursprünglich hätte die Richtlinie bis Oktober 2024 vollständig national umgesetzt sein müssen. Nach Verzögerungen liegt seit Ende Juni 2025 ein neuer Referentenentwurf des Bundesinnenministeriums (BMI) vor, der zentrale Änderungen enthält. Zugleich steht Unternehmen mit dem neuen FitNIS2-Navigator ein kostenfreies Unterstützungsangebot zur Verfügung.
Hintergrund: Was regelt die NIS2-Richtlinie?
Die Network and Information Security Directive 2 (NIS2) legt für Betreiber Kritischer Infrastrukturen sowie zahlreiche weitere Unternehmen verbindliche Mindeststandards der Cybersicherheit fest. Ziel ist ein europaweit einheitlich hohes Schutzniveau für Netz- und Informationssysteme. Im Fokus stehen Risikomanagement, Sicherheitsvorfallmanagement sowie eine bessere Kooperation zwischen Unternehmen, Behörden und der EU.
Die Richtlinie gilt für Sektoren wie Energieversorgung, Verkehr, Gesundheit, Trinkwasser, Abwasserentsorgung sowie digitale Dienste. Erfasst werden künftig auch mittelgroße Unternehmen, sofern diese bestimmte Schwellenwerte überschreiten.
Aktueller Umsetzungsstand: Verzögerungen und Vertragsverletzungsverfahren
Die EU verabschiedete die NIS2 bereits im Jahr 2022, sie trat am 16. Januar 2023 EU-weit in Kraft. Die Mitgliedstaaten hätten sie bis spätestens 17. Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland wurde dieser Zeitplan durch politische Verwerfungen und Koalitionsumbildungen nicht eingehalten. Die EU-Kommission leitete Ende 2024 ein Vertragsverletzungsverfahren ein und verschärfte dieses im Mai 2025. Deutschland drohen bei weiterer Verzögerung Klagen vor dem Europäischen Gerichtshof und empfindliche Strafzahlungen.
Einige Länder, wie Rheinland-Pfalz, haben zwischenzeitlich eigene Verwaltungsvorschriften zur Umsetzung in der Landesverwaltung beschlossen. Diese gelten für öffentliche Einrichtungen mit besonders kritischen Diensten.
Neuer Referentenentwurf: Anpassungen und Kritik
Der Ende Juni 2025 bekannt gewordene Referentenentwurf des BMI sieht wesentliche Änderungen gegenüber früheren Fassungen vor:
- Reduzierter Geltungsbereich: Unternehmen mit nur unwesentlichem KRITIS-Anteil sollen nicht erfasst werden.
- Geänderte Anhörungsrechte: Verbände, Betreiber und Wissenschaft müssen zu einzelnen Aspekten nicht mehr zwingend gehört werden.
- Detailliertes Melderegime: Eine dreistufige Meldepflicht löst das bisher einstufige Verfahren ab.
- Behördliche Zusammenarbeit: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) sollen enger kooperieren. Der IT-Grundschutz des BSI erhält Gesetzesrang.
Fachverbände wie die AG KRITIS begrüßen Fortschritte, sehen aber weiteren Nachbesserungsbedarf, insbesondere bei Definitionen, Branchenausnahmen und praktischer Umsetzbarkeit.
Konkrete Pflichten und Sanktionen
Betroffene Unternehmen müssen technische und organisatorische Schutzmaßnahmen einführen, Vorfälle frühzeitig melden und ein geeignetes Risikomanagement etablieren. Verstöße können mit Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet werden.
Unterstützungsangebot für KMU: FitNIS2-Navigator
Mit dem FitNIS2-Navigator steht kleinen und mittleren Unternehmen (KMU) seit Juni 2025 ein kostenfreies Werkzeug zur Verfügung, um die Anforderungen der NIS2-Richtlinie effizient umzusetzen. Entwickelt wurde das Online-Tool von Deutschland sicher im Netz e.V. (DsiN) und der Universität Paderborn in Kooperation mit dem cyberintelligence.institute (CII).
Das Tool hilft Unternehmen dabei, ihre individuelle Betroffenheit zu prüfen, bestehende Sicherheitsmaßnahmen zu bewerten und daraus spezifische Handlungspläne abzuleiten. Laut Angaben der Projektverantwortlichen wurden dazu rund 200 Anforderungen aus der NIS2-Richtlinie ausgewertet und in praxisnahe Empfehlungen überführt. So soll Unsicherheit bei der Interpretation regulatorischer Vorgaben abgebaut werden.
Didaktische Aufbereitung und Zusatzangebote
Ergänzend zum digitalen Navigator werden begleitende Materialien und praxisorientierte Workshops angeboten – teils online, teils vor Ort. Diese sollen Grundlagenwissen zu sicherem IT-Betrieb vermitteln und insbesondere KMU den Zugang zu komplexen Cybersicherheits- und Regulierungsthemen erleichtern.
Der FitNIS2-Navigator ist Teil der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie (BMWi) und gehört zum Förderschwerpunkt Mittelstand-Digital. Dank öffentlicher Mittel bleibt das Angebot für KMU kostenfrei nutzbar.
Der Navigator ist erreichbar unter: https://fitnis2.de
Fazit: Handlungsbedarf bleibt – Werkzeuge helfen
Trotz der Verzögerungen ist klar: Die NIS2-Richtlinie ist verbindlich und verpflichtet Unternehmen schon jetzt, sich mit den neuen Anforderungen auseinanderzusetzen. Hilfsangebote wie der FitNIS2-Navigator können dabei helfen, die Komplexität zu bewältigen und notwendige Maßnahmen frühzeitig umzusetzen.
Gerade mittelständische Betriebe sollten die Übergangszeit nutzen, um Prozesse, Zuständigkeiten und technische Sicherheitsmaßnahmen zu überprüfen. Denn wer wartet, riskiert nicht nur Bußgelder, sondern auch erhebliche Risiken für den eigenen Geschäftsbetrieb im Fall von Cyberangriffen.
Übersicht: Zentrale Pflichten und Fristen der NIS2-Richtlinie
| Aspekt | Inhalt / Anforderung |
|---|---|
| Geltungsbereich | Betreiber Kritischer Infrastrukturen (KRITIS), „wichtige Einrichtungen“ (wichtige Unternehmen, KMU in relevanten Sektoren) |
| Verpflichtungen | Risikomanagement etablieren, technische und organisatorische Schutzmaßnahmen umsetzen, Meldepflichten einhalten |
| Meldung von Vorfällen | Erste Meldung: innerhalb von 24 Stunden nach Feststellung Zwischenbericht: spätestens nach 72 Stunden Abschlussbericht: innerhalb von 1 Monat |
| Kontrolle & Aufsicht | BSI und Bundesnetzagentur dürfen Prüfungen vornehmen, Informationen einfordern, Vor-Ort-Kontrollen durchführen |
| Bußgelder bei Verstößen | Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) |
| Umsetzungsfrist | Umsetzung in nationales Recht bis 17. Oktober 2024 (verzögert, Referentenentwurf liegt vor, Stand: Juni 2025) |
FAQ
Was ist das NIS2-Umsetzungsgesetz?
Das NIS2-Umsetzungsgesetz ist ein deutsches Gesetz, das die EU-Cybersicherheitsrichtlinie NIS2 in nationales Recht überführt. Es verpflichtet Unternehmen bestimmter Branchen zu höheren Sicherheitsstandards und Meldepflichten bei IT-Vorfällen.
Wen betrifft das NIS2-Umsetzungsgesetz?
Das Gesetz gilt für Betreiber kritischer Infrastrukturen und viele mittelgroße Unternehmen in relevanten Sektoren wie Energie, Verkehr, Gesundheit oder digitale Dienstleistungen, sofern sie bestimmte Schwellenwerte überschreiten.
Welche neuen Meldepflichten gibt es?
Unternehmen müssen Sicherheitsvorfälle in drei Stufen melden: Erstmeldung innerhalb von 24 Stunden, Zwischenbericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.
Welche Strafen drohen bei Verstößen?
Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Welche Pflichten haben betroffene Unternehmen?
Sie müssen ein Risikomanagement einführen, Sicherheitsmaßnahmen nach dem Stand der Technik umsetzen, Vorfälle melden und auf Verlangen Nachweise vorlegen. Kontrollen vor Ort durch Behörden sind möglich.
Was ist der FitNIS2-Navigator?
Der FitNIS2-Navigator ist ein kostenloses Online-Tool, das Unternehmen hilft zu prüfen, ob sie betroffen sind, ihre Sicherheitslage zu bewerten und einen individuellen Maßnahmenplan zu erstellen.
Wie können KMU sich vorbereiten?
KMU sollten ihre Betroffenheit prüfen, ein Sicherheitsprogramm aufsetzen, Meldewege festlegen, ihre Lieferkette einbinden und das Management für die neuen Anforderungen sensibilisieren.
Was sollten Unternehmen jetzt tun?
Jetzt ist es wichtig, die Übergangszeit zu nutzen, um Prozesse anzupassen, Zuständigkeiten zu klären, Mitarbeitende zu schulen und technische sowie organisatorische Sicherheitsmaßnahmen zu verbessern.